Cela est organisé conformément aux recommandations qu’avait adressées l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ce bug bounty permettra de « garantir la fiabilité de l'application, grâce à la mobilisation d'une communauté d'experts indépendants en cybersécurité » indique un communiqué de l’agence.

« L’ANSSI a conseillé à Inria, un audit de type bug bounty pour l’application StopCovid, actuellement développée sous forme d'un prototype en amont de toute décision politique, en parallèle des audits et contrôles de sécurité réalisés par l’agence et ses partenaires, tout au long de la conception ». C’est la communauté YesWeHack qui s’y lance à compter du 27 mai.

« En cas de découverte d’une vulnérabilité par la communauté, l’équipe projet StopCovid sera ainsi en mesure de procéder à la correction des bugs critiques pour le bon fonctionnement et la sécurité de l'application ».

« Pour l’ANSSI, la sécurité de l’application doit être assurée par le cumul de plusieurs procédés. L’aide à la conception sécurisée puis l'audit de l’application réalisé par nos experts, doivent être complétés par le contrôle du code publié en open-source par la communauté numérique et par l’organisation de recherches de failles informatiques, de types bug bounty », explique Guillaume Poupard, directeur général de l’ANSSI.

Les retours des contributeurs « seront publiés sur le site YesWeHack et déversés sur le GitLab Inria StopCovid, où le code source sera accessible à tous ceux qui souhaitent le consulter ».